English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Proxy.Delf.CA
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Proxy.Delf.CA - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Proxy.Delf.CA
Обнаружен:
26/02/2007
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
28.833 байт.
Контрольная сумма MD5:
916ede7e54c83f11f0f99f7e53178a3b
Версия IVDF:
6.37.01.162
Общее
Методы распространения:
• Локальная сеть
• Подключенные сетевые диски
Псевдонимы (аliases):
• Mcafee: W32/Fujacks
• Kaspersky: Worm.Win32.Delf.bd
• F-Secure: Worm.Win32.Delf.bd
• Sophos: W32/Fujacks-AU
• Grisoft: Worm/Delf.AEP
• Eset: Win32/Fujacks.O
• Bitdefender: Win32.Worm.Fujacks.J
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Отключение приложений безопасности
• Загружает файлы
• Создает файлы
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создаются собственные копии:
•
%SYSDIR%
\drivers\spoclsv.exe
•
%Диск%
\setup.exe
Разделы добавляются в файлы.
– Кому:
%все папки%
\*.htm Со следующим содержимым:
• iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe
Указанный файл переименовывается после перезагрузки системы.
– Кому:
%все папки%
\*.html Со следующим содержимым:
• iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe
– Кому:
%все папки%
\*.asp Со следующим содержимым:
• iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe
– Кому:
%все папки%
\*.php Со следующим содержимым:
• iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe
– Кому:
%все папки%
\*.jsp Со следующим содержимым:
• iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe
– Кому:
%все папки%
\*.aspx Со следующим содержимым:
• iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe
Создаются следующие файлы:
–
%все папки%
\Desktop_.ini Файл является безвредным текстовым файлом со следующим содержимым:
•
%актуальная дата%
–
%Диск%
\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
•
Попытка загрузки следующего файла:
– Следующий URL:
• http://www.baidu8.org/**********/xm.txt
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.
Реестр
Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
•
%SYSDIR%
\drivers\spoclsv.exe
Удаляются значения следующего ключа реестра:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• RavTask
• KvMonXP
• kav
• KAVPersonal50
• McAfeeUpdaterUI
• Network Associates Error Reporting Service
• ShStatEXE
• YLive.exe
• yassistse
Изменяется следующий ключ реестра:
Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
Прежнее значение:
• CheckedValue =
%Настройки пользователя%
Новое значение:
• CheckedValue = 0
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:
– Следующий список имен пользователей:
• Administrator
• Guest
• admin
• Root
– Список паролей:
• 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100
Генарация IP адресов:
Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами.
Процесс инфицирования:
Загруженный файл сохраняется на удаленном компьютере в следующем виде:
%все папки общего доступа%
\GameSetup.exe
Снижение скорости:
– Создается следующее количество инфицирующих программных потоков: 9
– В зависимости от пропускной способности Вашего канала возможна потеря производительности. Из-за среднего уровня активности данной вредоносной программы пользователь может и не заметить этого изменения при наличии мощного канала связи.
– Есть вероятность незначительного уменьшения скорости. Причиной может явиться большое число запущенных процессов.
Завершение процесса
Список завершаемых процессов:
• Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe
Завершение процессов с одним из следующих имен окна:
• Symantec AntiVirus
• Duba
• Windows
• esteem procs
• System Safety Monitor
• Wrapped gift Killer
• Winsock Expert
Список завершаемых служб:
• sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
Symantec Core LC; NPFMntor; MskService; FireSvc
Данные файла
Язык программирования:
Программа была написана на Delphi.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• FSG
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Thu, 19 Jun 2008 13:28 (GMT+1)
Описание обновлено: Andrei Gherman Thu, 19 Jun 2008 13:40 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Proxy.Delf.CA
Print this page
.gif)
